De acuerdo con información publicada en distintos medios, la filtración de datos de usuarios de cientos de grandes y miles de pequeñas empresas desde la plataforma de colaboración Trello es algo habitual. Sin embargo, no se trata de una filtración en el sentido tradicional de la palabra. Las empresas han usado Trello durante años sin establecer las configuraciones de privacidad adecuadas; y algunos investigadores han hecho pública la información.

Para entender la diferencia que existe entre una filtración de datos y lo que ocurre con Trello, es necesario conocer cómo trabajan. Los miembros de Trello utilizan tableros para colaborar en proyectos. Los tableros son privados por defecto, pero cuando los usuarios necesitan mostrar un tablero a alguien que no esté en el equipo, ponen la visibilidad del tablero como pública. En ese momento, cualquier usuario puede abrir el tablero con un enlace directo y los motores de búsqueda pueden indexar la información almacenada en el mismo, con la consiguiente amenaza a la privacidad de los datos. 

Con una consulta de búsqueda formulada de forma adecuada es posible descubrir numerosos tableros públicos que pertenecen a diferentes empresas. Entre ellos se esconden credenciales de sitios web, análisis de documentos y acuerdos comerciales confidenciales que ahora varios investigadores han ido encontrando y publicando.

El acceso no autorizado al espacio de trabajo corporativo en Trello puede traer problemas incluso aunque no se almacenen en él documentos confidenciales o contraseñas. Los atacantes pueden utilizar información empresarial para que sus ataques de ingeniería social sean más convincentes, por ejemplo, al iniciar correspondencia con un empleado y disminuir su vigilancia al mencionar detalles de proyectos actuales.

Así puedes configurar Trello para mantener la privacidad

Solo cambiando un par de configuraciones, se puede evitar que los motores de búsqueda indexen datos del espacio de trabajo de Trello. Lo menos importante es la visibilidad del espacio de trabajo; la más importante es la visibilidad de cada tablero.

Los espacios de trabajo en Trello tienen dos configuraciones de visibilidad: privada y pública. En este caso la elección está clara.

Los tableros permiten además otras opciones: privado (solo los miembros del tablero tienen acceso), espacio de trabajo (todos los miembros del espacio de trabajo tienen acceso), organización (todos los empleados tienen acceso, en el caso de cuentas empresariales) y público (todo el mundo tiene acceso). La interfaz actual de Trello proporciona una descripción lo suficientemente clara de las opciones de visibilidad, lo que indica que los rastreadores de la web tienen acceso solo a los tableros públicos, de forma que cualquier otra opción excepto la pública podría haber evitado esta filtración.

Para garantizar la privacidad de los datos al usar estos espacios de trabajo, además de configurar los tableros de Trello con la visibilidad adecuada para evitar que la información se haga pública, los expertos de Kaspersky recomiendan:

  • Gestionar cuidadosamente la lista de usuarios que tienen acceso al espacio de trabajo en Trello y a cada tablero. Si alguien sale del proyecto, el equipo o la empresa, revocar su acceso de inmediato.
  • Mostrar a los empleados la importancia de utilizar contraseñas seguras y recomendar que activen la opción de la autentificación en dos pasos de Trello.
  • Asegurarse de que todos los empleados responsables de la seguridad de la información conocen las herramientas de colaboración online que utilizan todos los empleados y qué información almacenan en estas herramientas y servicios. Esta información es necesaria para evaluar los riesgos y crear un modelo para amenazas.
  • Instalar una solución de seguridad en todos los ordenadores, teniendo en cuenta que cualquier herramienta de colaboración puede volverse un canal de entrada para las ciberamenazas (archivos o enlaces maliciosos).

About Author

Desiree Rodriguez

Responsable de Globb Security France y España. Periodista, Comunicadora Audiovisual y editora. Antes de unirse a GlobbTV, desarrolló la mayor parte de su carrera profesional en el grupo editorial de Madiva. Twitter: @Drodriguezleal.

Deja un comentario